山大继续教育学院网站暴露安全漏洞不登录可访问万名学生准考证
时间:2019-11-18 22:27:14 热度:37.1℃ 作者:网络
近日,网友张信(化名)发帖爆料山东大学继续教育学院网站存在安全漏洞,可在未登录的情况下,查看该学院学生的准考证,包含姓名、身份证号等信息。
学生准考证。
对此,山东大学继续教育学院回复隐私护卫队称,已进行排查并修复漏洞。
帖子中,张信称帮朋友打印准考证时,在看到准考证的访问链接时“灵光一现”,察觉可以访问所有学生的准考证,进而查看其中包含的姓名、身份证号、考试科目和时间等信息。
张信发现,准考证的访问链接中有一个ID值,改变此ID值,“在230000-240000”范围内,都可以访问其他学生的准考证信息;值得注意的是,此操作并不需要登录账号。这意味着,“任何一个人可以查看任何一个学生的准考证。”张信在帖子中说。
“非常简单、常见但多少又有点影响的漏洞。”张信表示,之所以发帖,“只是想说明某些看起来很安全的系统可能已经千疮百孔。”
如张信所言,隐私护卫队发现,出现类似安全漏洞的情况并不少见。
去年8月,某社交类短信App,一经推出,该App就异常火爆,与此同时,它也丑闻不断,深陷涉黄、隐私泄露等问题中。
当时,有网友爆料称,注册该App时,用户ID依次递增,比如第一个注册者ID是1,第二个注册者ID是2,依此类推。当用户使用该App给通讯录中好友发送短信时,App会帮该用户生成一个“个人页面”,包含用户的ID、昵称、手机号等信息,在源代码中,这些信息处于明文状态。
该网友指出,将“个人页面”链接中的用户ID依次增加,就可以大批量查询、到处用户个人信息。
随后,App官方回复称对上述安全漏洞进行了紧急修复。
2015年初,某平台的红包也被曝存在类似漏洞,修改红包的ID就可打开其他任意用户的红包。
目前,张信的爆料贴已经删除。山东大学继续教育学院对隐私护卫队表示,已经进行了排查,目前漏洞已经修复。
这属于“业务逻辑上的漏洞”,知道创宇404安全实验室副总监隋刚对隐私护卫队说,开发时,程序员只考虑了功能实现,而在关键信息上的防护做得不够。
一位安全专家介绍说,网站设计时遵循用户权限分级和隔离,设定服务端对当前用户身份进行校验,限定不能查看别人信息,就能避免类似漏洞出现。
文/南都个人信息保护研究中心研究员 尤一炜 南都见习记者 李慧琪
编辑:蒋琳